کابوس استاکس نت دوباره در راه است؟

zoomit.ir - حسین خلیلی صفا: محققان بدافزاری را یافته‌اند که برای دستکاری سیستم‌های کنترلی و نظارتی با قابلیت جمع آوری اطلاعات توسعه یافته است. هدف اصلی این بدافزار که کارکردی شبیه به استاکس‌نت دارد، ایجاد اختلال در سیستم‌های صنعتی است.

دانشمندان بدافزاری با کارکردی شبیه به استاکس‌نت کشف کرده‌‌اند که هدف آن ایجاد اختلال و سرقت اطلاعات از سیستم‌های صنعتی است که وظایفی نظارتی و جمع‌آوری اطلاعات را بر عهده دارند.


همانطور که اشاره کردیم این بدافزار کارکردی شبیه به استاکس‌نت دارد و توسط آمریکا و اسرائیل به منظور ایجاد اختلال در برنامه‌ی صلح آمیز هسته‌ای کشورمان ایجاد شده بود. اسرائیل و آمریکا کرم استاکس‌نت را به منظور اختلال در چرخه‌ی غنی‌سازی اورانیوم کشورمان و با هدف ایجاد اختلال در سانتریفیوژها توسعه داده بودند.

بدافزار جدید توسط یک موسسه امنیتی با نام FireEye در نیمه‌ی دوم سال گذشته میلادی کشف شده است. این ویروس در دیتابیس VirusTotal مشاهده شده و ماهیت آن در جریان یک حمله‌ی امنیتی مشخص نشده است. VirusTotal وب‌سایتی است که تحت تملک گوگل قرار دارد و با استفاده از آن کاربران می‌توانند فایل‌های مشکوک خود را برای اسکن شدن توسط موتورهای امنیتی یا آنتی ویروس، در اختیار این سرویس قرار دهند.

این بدافزار که FireEye نام IRONGATE را روی آن نهاده، در نوبت‌های مختلف از سال ۲۰۱۴ میلادی در دیتابیس VirusTotal قرار گرفته که در آن زمان هیچ یک از ۹ آنتی ویروس مورد استفاده قادر به شناسایی فایل‌های آلوده به این بدافزار نبوده‌اند.

یکی از مواردی که در خصوص این بدافزار جالب توجه است، عدم شناسایی این برنامه‌ی مخرب توسط آنتی ویروس‌های مشارکت کننده در VirusTotal تا اواخر سال ۲۰۱۵ میلادی است، چراکه VirusTotal آخرین بروزرسانی پایگاه داده‌ی خود را با تمام کمپانی‌های امنیتی دارای آنتی ویروس را که در این وب‌سایت مشارکت دارند، به اشتراک می‌گذارد.

FireEye نیز موفق شده تا بدافزار مورد نظر را از طریق جستجوی نمونه‌های مشکوک کامپایل شده توسط PyInstaller که توسط هکرهای متعددی مورد استفاده قرار می‌گیرد، پیدا کند. براساس اطلاعات ارائه شده دو نمونه از این بدافزار کشف شده که هدف آن‌ها پیدا و جایگزین کردن یک فایل DLL‌ مخصوص برای ارتباط با نرم‌افزار SMIATIC S۷-PLCSIM کمپانی زیمنس است. این نرم‌افزار امکان اجرای برنامه‌ها روی کنترلر‌های قابل برنامه‌ریزی (PLC) شبیه سازی شده‌ی S۷-۳۰۰ و S۷-۴۰۰ را امکان پذیر می‌کند.

PLCها ماژول‌های سخت‌افزاری خاصی هستند که برای مانیتورینگ و کنترل سیستم‌های صنعتی مورد استفاده قرار می‌گیرند. از جمله‌ی کاربردهای PLC می‌توان به کنترل دور موتور یا باز و بسته کردن دریچه‌ها در فرآیند صنعتی اشاره کرد. PLC‌ها اطلاعات دریافتی را به نرم‌افزار‌های کنترلی مجهز به رابط گرافیکی کاربر انتقال می‌دهند تا مهندسانی که در اتاق‌های کنترل قرار دارند، بتوانند کل سیستم را با در اختیار داشتن اطلاعات جزئی‌ترین بخش از سیستم، کنترل و هدایت کنند. هدف بدافزار IRONGATE همچون استاکس‌نت، سرقت اطلاعات و دستکاری روند کاری سیستم بصورت پنهانی است، بطوریکه ناظران سیستم قادر به تشخیص تغییرات از روی نرم‌افزارهای مانیتورینگ نباشند.

استاکس‌نت با نفوذ به PLC‌های کنترل کننده‌ی موتور سانتریفیوژها، موتوری را که باعث چرخش می‌شد، متوقف می‌کرد، حال آنکه در ظاهر و در نرم‌افزار‌های کنترلی، کارشناسان روند کارکرد سیستم را بصورت عادی مشاهده می‌کردند. IRONGATE با جمع‌آوری اطلاعات صحیح در سیستم، در زمان تغییر و سرقت اطلاعات به تغذیه‌ی سیستم مانیتورینگ با اطلاعات صحیح می‌پردازد. این موضوع شبیه پخش ویدیوی ضبط شده‌ی دوربین‌های مدار بسته توسط سارقان در زمان قطع سیستم است.

با توجه به کارکرد این سیستم که طی آن یک فایل DLL غیر پیش فرض سیستم زیمنس جایگزین فایل اصلی می‌شود، متخصصان FireEye را به این نتیجه رسانده که این بدافزار برای انجام آزمایش توسعه یافته است. بخش نظارتی کمپان زیمنس با تایید وجود این بدافزار به این نکته اشاره کرده که این برنامه‌ی مخرب قادر نیست تا روی سیستم‌های استاندارد زیمنس تغییراتی ایجاد کند.

با توجه به آزمایشی بودن IRONGATE به نظر می‌رسد توسعه‌دهندگان این بدافزار را برای یافتن راه‌های نفوذ در سیستم‌های نظارتی صنعتی توسعه داده‌اند و از این‌رو احتمال می‌رود برنامه مخرب اصلی که هنوز اثری از آن یافت نشده، وجود داشته باشد.

باید دید که آیا در ماه‌های آینده شاهد انتشار اخباری از کشف بدافزار مخصوص سیستم‌های صنعتی خواهیم بود یا خیر؟